Страница 1 из 3

Регистрация клиента Новелл (ХР) в eDirectory

СообщениеДобавлено: 11 сен 2006, 18:31
Alex_Saf
Доброго времени суток, коллеги!

Есть проблема с регистрацией с рабочей станции на WinXP в eDirectory. eDirectory развернута на FedoraCore 5. Согласно документу http://www.novell.com/coolsolutions/net ... w5_nw.html в файерволе на машине с eDirectory проделаны следующие дырки:
1) 389, 636, 524 (NCP - его никто не слушает), 20000 (слушает ndsd) по tcp
2) 123, 427 (SLP - его слушает slpuasa) по udp

Вообщем клиент не регистрируется с ошибкой "Невозможно найти дерево или сервер...". Хотя указан ип адрес сервера и дерево абсолютно точно. Сервер с eDirectory является еще и шлюзом по умолчанию. Я запустил на нем tcpdump и увидел что клиент пытается найти сервис мультикастингом:
17:55:14.323790 IP 192.168.54.10.blackjack > 239.255.255.253.svrloc: UDP, length 37
17:55:14.323952 IP 192.168.54.10.blackjack > 224.0.1.22.svrloc: UDP, length 44 (мультикастинг SRVLOCK)

192.168.54.10 - это клиент.
В свойствах клиента выставлено и предпочитаемый сервер и дерево, а также в настройки протоколов указано, что предпочитаемый сетевой протокол - IP с параметрами NDS, файл хостов, DNS, SLP

Что мне нужно сделать, чтобы клиент мог аутентифицироваться в eDirectory? Мож DNS нужно крутить как-то? Я добавил в DNS SRV-запись вида
ldap._tcp.novell_inc.provo.novell.com. SRV 0 0 389 server1.novell_inc.provo.novell.com

И еще вопрос: у меня сервер eDirectory запущен на порту 20000, а клиент упорно лезет на 524. Это можно как-нибудь разрулить? Или вервер должен только работать на 524?

СообщениеДобавлено: 11 сен 2006, 23:55
Иван Левшин aka Ivan L.
ИМХО мультикасты говорят о том, что не настроен SLP. Как настраивать - есть прекрасный TID, описывающий что такое, зачем надо, каким образом делать.

СообщениеДобавлено: 12 сен 2006, 05:06
Андрей Фисенко
Иван Левшин aka Ivan L. писал(а):ИМХО мультикасты говорят о том, что не настроен SLP. Как настраивать - есть прекрасный TID, описывающий что такое, зачем надо, каким образом делать.

А еще, Иван, есть люди, которые знают, что делать или где искать, но говорят только о том, что все это где-то есть.

PS. Хотя-бы номер тида мог-бы и оставить. :shock:

СообщениеДобавлено: 12 сен 2006, 07:15
Андрей Тр. aka RH
И еще вопрос: у меня сервер eDirectory запущен на порту 20000, а клиент упорно лезет на 524. Это можно как-нибудь разрулить? Или вервер должен только работать на 524?
А это разве нормально ? Если не коннектится по указанному IP, то при чем здесь SLP ?

СообщениеДобавлено: 12 сен 2006, 12:35
Иван Левшин aka Ivan L.
Андрей Фисенко писал(а):
Иван Левшин aka Ivan L. писал(а):ИМХО мультикасты говорят о том, что не настроен SLP. Как настраивать - есть прекрасный TID, описывающий что такое, зачем надо, каким образом делать.

А еще, Иван, есть люди, которые знают, что делать или где искать, но говорят только о том, что все это где-то есть.

PS. Хотя-бы номер тида мог-бы и оставить. :shock:


Андрюх... Я бы с удовольствием - но я его не помню. Товарищ будет также, как и я, рыть Knowledgebase. Дело не в снобизме, поверь на слово ;)

А клиент и будет ломиться по 524 порту :) Он в работе 427 и 524 порты пользует.ndsd на 20000 порту - это кабы не клиентский порт для репликации (предположение, в линухе не силен). Грабля у него в том, что файрволл (либо что-то еще на пути до сервера) режет мультикасты. Надо настроить SLP на использование юникастов. Как - указано в тех самых пресловутых ТИДах.

Дабы исправиться в глазах Фиса - [http="SLP Terms and Configuration Reference"]http://www.novell.com/support/search.do?cmd=displayKC&docType=kc&externalId=10014396&sliceId=&dialogID=13240308&stateId=0%200%2013244855[/http]

СообщениеДобавлено: 12 сен 2006, 15:00
Alex_Saf
Иван Левшин aka Ivan L. писал(а):А клиент и будет ломиться по 524 порту :) Он в работе 427 и 524 порты пользует.ndsd на 20000 порту - это кабы не клиентский порт для репликации (предположение, в линухе не силен).


У меня 524 порт никто не пользует -100%. 20000 порт я сам выбрал при установке eDirectory. Видимо нужно переставить перенеся службу на 524 порт или редирект сделать. Но ежели клиент может ломится только на 524 то нах вообще давать возможность этот порт менять? Секурность? Думаю основное предназначение eDirectory - аутентифицировать клиентов (ну и службы конечно).

СообщениеДобавлено: 12 сен 2006, 15:09
Иван Левшин aka Ivan L.
Подозреваю, что основное назначение едира все же не только в том, чтобы авторизовать, а в том, чтобы обеспечить надежное централизованное хранилище информации :) Авторизация - хорошо, но это далеко не главное.

Порт раз поменял - тогда уж и на клиенте меняй :) К чему такая мегасекурность-то? Я что-то не видел уязвимостей, которые пользовали бы 524 порт. Ситуация, ИМХО, четко вписывается в "мы сами творцы своего геморроя" :D

СообщениеДобавлено: 12 сен 2006, 15:37
Alex_Saf
to Иван Левшин aka Ivan L.

Я понял особо к чему вы это все говорите? Чем занимается служба каталога я понимаю. Геморой? Какой геморой? Я объяснил - при установке запросили порт, я установил напр. 20000. То что клиент не может коннектится по tcp/ip ни на какой кроме 524 порта - это разве моя проблема? Если это проблема и масса всего завязано на цифру 524, то зачем давать админу возможность менять порт?

СообщениеДобавлено: 12 сен 2006, 16:26
Иван Левшин aka Ivan L.
Я говорю это к тому, что админ обязано понимать, что он делает :) Если он серверный порт поменял - наверное, должна сама собой возникнуть мысль поменять порт для подключения и на клиенте :) Просто troubleshooting подобных случаев, мягко говоря, затруднен. Мы то подозреваем, что настройки - дефолтные. А оно вона как оказывается ;)

А насчет проблем - раз клиент не может войти в сеть - разве это не ТВОЯ проблема? ;)

Попробуйте так

СообщениеДобавлено: 12 сен 2006, 16:54
skoltogyan
1. В момент логина, вместо имени дерева ВЛОБ вписать IP Вашего сервера
+
2. в фаерволе откройте так
from WS ---to --> Server еще и для udp те-жее порты
типа так:
FORWARD src 192.168.5.0/24 -p udp dst 192.1681.1 --dport 524 -j ACCEPT
+
3. От Сервера в сторону WS откройте все, типа так
FORWARD src 192.168.1.1 dst 192.168.5.0/24

СообщениеДобавлено: 12 сен 2006, 17:03
Alex_Saf
to Иван Левшин aka Ivan L.

Этот разговор бесперспективный. Глупо предполагать, что поменяв серверный порт я не пытался сделать это на клиенте. Не нашел явных настроек на клиенте по порту, поэтому использовал IP_ADDR_SRV:PORT. Тем не менее клиент все равно лезет на 524.

Что-то мне подсказывает, что вы поменяли порт для доступа

СообщениеДобавлено: 12 сен 2006, 19:06
Boris Morozov
через LDAP. Какое число стояло там по умолчанию? Вспомните, это важно. А обычные клиенты работают не через LDAP, а через NCP и я как-то не слышал, чтобы можно было менять этот порт.

СообщениеДобавлено: 12 сен 2006, 19:45
Alex_Saf
to Boris Morozov

я про LDAP не слово не говорил. Как бы беседа кружится вокруг порта 524 - собственно порта NCP по дефолту.
Не понимаю какое число вы призываете меня вспомнить. Если касательно места где можно указать порт NCP, то это не проблема. После установки eDirectory запускаете, скажем, ndsmanage. Говорите, что страстно желаете создать новое дерево и устанавливате параметры instance. В том числе будет следующая строка:
NCP Port number to listen on:
Пожалста, вводите любое значение.

СообщениеДобавлено: 12 сен 2006, 20:08
Alex_Saf
В итоге все идентификация прошла успешно, при применении дефолтного 524 порта. Причем на файрволе открыты только те порты, которые я указал в первом посте, а полностью открыт интерфейс, смотрящий во внутреннюю сеть, как советовал уважаемый skoltogyan.
После успешной идентификации пользователя (он был ранее заведен в eDirectory) на WinXP - система потребовала еще быть зарегиным на локальной машине (или в домене виндовс). Это так и есть? Выходит необходимо завести одного или нескольких псевдо-пользователей на каждой машине? Какой-то грязный хак.

СообщениеДобавлено: 12 сен 2006, 21:22
Иван Левшин aka Ivan L.
Ну вот, видишь :) Дефолт надо пользовать, дефолт. Опасности - никакой. Сколько помню (а НДС существует с нетвари 4.11) никаких проблем с безопасностью дефолтного порта не было.

По поводу двух логинов - вспоминаем принцип организации WinNT :) Покуда ты не войдешь с учеткой, имеющейся в SAM, щастья не будет. Ни оболочки, ни шар - ничего. Второй логин - это и есть учетка из SAM. Проблема борется двумя путями:
1. Нормальный. ЗЕН - там есть политика Dynamic Local User. Она просто создает пользователя в SAM с нужными правами и авторизация в NT/2000/XP проходит прозрачно.
2. Сначала создаем учетки в SAM ручками - причем и имя пользователя, и логин должны точно соответствовать оным в едире. Результат - вторая учетка не спрашивается. Либо каким-то скриптом (предположение, не уверен в его жизнеспособности) входим в локальную NT-машину под одним и тем же пользователем.

Извини, если тон показался резким - ты, в общем, терпимостью тоже не отличаешься :)